🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Google ra mắt chương trình bug bounty cho các ứng dụng Android của họ

25/05/2023

Google đã ra mắt Mobile Vulnerability Rewards Program (Mobile VRP), một chương trình bug bounty mới sẽ trả thưởng cho các nhà nghiên cứu bảo mật cho các lỗ hổng được phát hiện trong các ứng dụng Android của công ty.

Google VRP cho biết: "Chúng tôi rất vui mừng thông báo về Mobile VRP mới! Chúng tôi đang tìm kiếm những chuyên gia săn lỗi để giúp chúng tôi tìm và khắc phục các lỗ hổng trong các ứng dụng di động của mình".

Mục tiêu của chương trình là giảm thiểu lỗ hổng bảo mật trong các ứng dụng Android của bên thứ nhất do Google phát triển hoặc duy trì, từ đó giữ an toàn cho người dùng và dữ liệu của họ.

Các ứng dụng trong phạm vi của Mobile VRP bao gồm các ứng dụng được phát triển bởi Google LLC, được phát triển cùng với Google, nghiên cứu tại Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC và Waze.

Danh sách các ứng dụng trong phạm vi chương trình cũng bao gồm những ứng dụng mà Google mô tả là ứng dụng Android "Cấp 1", bao gồm:

- Google Play Services (com.google.android.gms)

- AGSA (com.google.android.googlequicksearchbox)

- Google Chrome (com.android.chrome)

- Google Cloud (com.google.android.apps.cloudconsole)

- Gmail (com.google.android.gm)

- Chrome Remote Desktop (com.google.chromeremotedesktop)

Các lỗ hổng đủ điều kiện bao gồm những lỗ hổng cho phép thực thi mã tùy ý (ACE) và đánh cắp dữ liệu nhạy cảm, cũng như các lỗ hổng có thể kết hợp với các lỗ hổng khác để gây ra tác động tương tự.

Những lỗ hổng này bao gồm:

- Orphaned permissions: các lỗ hổng liên quan đến việc kiểm soát quyền.

- Các lỗi path traversal hoặc zip path traversal có thể dẫn đến việc ghi tùy ý vào các tệp tin hoặc thư mục trên hệ thống.

- Các lỗi intent redirection cho phép kẻ tấn công khai thác để khởi chạy các thành phần ứng dụng không được phép.

- Các lỗi bảo mật do sử dụng không an toàn các yêu cầu đang chờ xử lý (pending intent).

Google cho biết họ sẽ thưởng tối đa 30.000 đô cho việc thực thi mã từ xa mà không cần sự tương tác của người dùng và tối đa 7.500 đô cho các lỗi cho phép đánh cắp dữ liệu nhạy cảm.

Vào tháng 8 năm 2022, công ty đã thông báo sẽ thưởng tiền cho các nhà nghiên cứu bảo mật để tìm ra lỗ hổng trong các phiên bản mới nhất được phát hành của phần mềm nguồn mở Google (Google OSS), bao gồm các dự án Bazel, Angular, Golang, Protocol buffers và Fuchsia.

Kể từ khi ra mắt VRP đầu tiên của mình vào hơn một thập kỷ trước, năm 2010, Google đã thưởng hơn 50 triệu đô cho hàng nghìn nhà nghiên cứu bảo mật trên toàn thế giới vì đã báo cáo hơn 15.000 lỗ hổng.

Vào năm 2022, họ đã trao thưởng 12 triệu đô, bao gồm khoản tiền thưởng kỷ lục 605.000 đô cho chuỗi khai thác Android gồm 5 lỗ hổng bảo mật khác nhau do gzobqq báo cáo, mức thưởng cao nhất trong lịch sử Android VRP. Một năm trước, nhà nghiên cứu này cũng đã báo cáo một chuỗi khai thác nghiêm trọng khác trong Android và nhận được 157.000 đô tiền thưởng kỷ lục tại thời điểm đó.

Nguồn: bleepingcomputer.com.

scrolltop